Étape 4 : Liste autorisée des emplacements d’entrée et de sortie
Cette rubrique décrit les règles qui s’appliquent à cette fonctionnalité et l’établissement d’une liste d’autorisations pour les répertoires de votre réseau.
Les connexions d’entrée et de sortie de flux peuvent nécessiter la connexion à des bases de données ou des fichiers qui se trouvent dans des répertoires de votre réseau. Vous devez établir la liste d’autorisations des répertoires auxquels vous souhaitez autoriser l’accès. Les connexions d’entrée et de sortie seront uniquement autorisées à se connecter aux données qui figurent sur la liste des emplacements autorisés. Par défaut, aucune connexion n’est autorisée.
Remarque : vous pouvez toujours publier les flux et les données intégrées dans le fichier de flux (tflx) sur Tableau Server, mais le flux ne fonctionnera pas si les répertoires ne sont pas inclus dans la liste d’autorisations de votre entreprise.
Comment établir la liste d’autorisations d’emplacements d’entrée et de sortie
Les règles suivantes s’appliquent et doivent être prises en compte lors de la configuration de ce paramètre :
Les chemins d’accès aux répertoires doivent être accessibles par Tableau Server. Ces chemins sont vérifiés au cours du démarrage du serveur et au moment de l’exécution et ne sont pas vérifiés au moment de la publication du flux sur Tableau Server.
Les chemins d’accès au répertoire réseau doivent être absolus et ne peuvent pas contenir de caractères génériques ni d’autres symboles de parcours de chemin. Par exemple,
\\myhost\myShare\*
ou\\myhost\myShare*
sont des chemins d’accès non valides et entraîneraient l’interdiction de tous les chemins. La méthode correcte pour inscrire un dossier dans la liste d’autorisations sous myShare serait\\myhost\myShare
ou\\myhost\\myShare\
.Remarque : la configuration
\\myhost\myShare
n’autorise pas\\myhost\myShare1
. Pour inscrire ces deux dossiers dans la liste d’autorisations, incluez-les en tant que \\myhost\myShare; \\myhost\myShare1.Windows :
La valeur peut être
*
(par exemple,tsm configuration set -k maestro.input.allowed_paths -v "*"
) pour autoriser tout répertoire réseau ou une liste spécifiée de chemins d’accès aux répertoires réseau, délimités par un point-virgule (;). Si vous spécifiez une liste de chemins de répertoire, assurez-vous de spécifier des répertoires particuliers plutôt que la racine du partage fichier.- Si le chemin contient des espaces ou des caractères spéciaux, vous devez utiliser des guillemets simples ou doubles. L’utilisation de guillemets simples ou doubles dépend du shell utilisé.
Aucun chemin de répertoire local n’est autorisé même lorsque la valeur est définie sur
*
.Pour enregistrer la sortie de flux sur un partage réseau, vous devez d’abord configurer un compte de service Exécuter en tant qu’utilisateur(Le lien s’ouvre dans une nouvelle fenêtre) sur Tableau Server. Vous ne pouvez pas enregistrer les flux sur un partage réseau à l’aide du compte système par défaut. Configurez ensuite le répertoire cible sur le partage réseau pour les autorisations Contrôle total applicables au compte Exécuter en tant qu’utilisateur que vous avez créé.
Selon la manière dont votre entreprise gère les autorisations de dossier imbriquées, vous devrez peut-être accorder des autorisations supplémentaires dans la hiérarchie des dossiers, avec un minimum d’autorisations de lecture, d’écriture, d’exécution, de suppression et de dossier de liste, pour autoriser le compte Exécuter en tant qu’utilisateur à accéder au dossier cible.
Linux :
La valeur peut être
*
, (par exemple,tsm configuration set -k maestro.input.allowed_paths -v "*"
), ce qui signifie tout chemin, y compris les chemins locaux (à l’exception de certains chemins système configurés à l’aide de « native_api.internal_disallowed_paths »), ou une liste de chemins délimités par un point-virgule (;).Vous devez utiliser une version de kernel égale ou supérieure à 4.7. La liste sécurisée vers ou depuis un partage réseau n’est pas prise en charge sur les versions de kernel antérieures à 4.7. Sur les versions antérieures, lorsque la sortie est écrite sur un partage réseau, hyper échoue dans la sortie des fichiers, ce qui entraîne l’échec des flux lors de l’exécution. Lors de la lecture de fichiers d’entrée à partir d’un partage réseau sur des versions antérieures, les exécutions de flux échouent. Pour vérifier la version de kernel, dans le terminal Linux, tapez la commande
uname -r
. Cette commande affiche la version complète du kernel en cours d’exécution sur la machine Linux. Notez que pour Red Hat Enterprise Linux, la version 4.7 et ultérieure du kernel n’est disponible qu’avec Red Hat Enterprise Linux version 8.- Pour enregistrer la sortie de flux sur un partage réseau, le compte Linux local qui a accès aux ressources Tableau Server doit recevoir des autorisations Contrôle total pour le répertoire cible sur le partage réseau. Si un chemin se trouve à la fois dans la liste autorisée des flux et dans la liste internal_disallowed, internal_disallowed est prioritaire.
Les points de montage des chemins d’entrée et de sortie utilisés par les flux doivent être configurés à l’aide de la clé de configurationnative_api.unc_mountpoints
. Par exemple :tsm configuration set -k native_api.unc_mountpoints -v 'mountpoints'
Pour plus d’informations sur cette configuration, consultez cet article de la base de connaissances Tableau : Tableau Server on Linux How to Connect to a Windows Shared Directory(Le lien s’ouvre dans une nouvelle fenêtre).
Utilisez les commandes suivantes pour créer une liste de chemins d’accès réseau autorisés :
Pour les connexions d’entrée :
tsm configuration set -k maestro.input.allowed_paths -v your_networkdirectory_path_1;your_networkdirectory_path_2
tsm pending-changes apply
Pour les connexions de sortie :
tsm configuration set -k maestro.output.allowed_paths -v your_networkdirectory_path_1;your_networkdirectory_path_2
tsm pending-changes apply
Important :
ces commandes écrasent les informations existantes et les remplacent par les nouvelles informations que vous avez fournies. Si vous souhaitez ajouter un nouvel emplacement à une liste existante, vous devez fournir une liste de tous les emplacements, existants et nouveaux à ajouter. Utilisez les commandes suivantes pour afficher la liste actuelle des emplacements d’entrée et de sortie :tsm configuration get -k maestro.input.allowed_paths
tsm configuration get -k maestro.output.allowed_paths
Étape suivante
Étape 5 : Configurations facultatives du serveur
Qui peut le faire?
Sous Windows, les membres du groupe Administrateurs de l’ordinateur local peuvent exécuter des commandes tsm.
Sous Linux, les membres du groupe tsmadmin peuvent exécuter des commandes tsm. Le groupe tsmadmin peut être configuré à l’aide du paramètre tsm.authorized.groups.